[发明专利]使用认知计算的异常检测

权利要求书

1.一种用于确定安全异常的计算机实现的方法，所述方法包括：

基于一组网络安全数据的空间属性和该组网络安全数据的时间属性来生成多个张量，其中该组网络安全数据包括数值数据和文本数据，并且其中该组网络安全数据是从多个计算源收集的；

将所述多个张量提供给层级即时记忆(HTM)网络，所述HTM网络被配置成为所述HTM网络的相应区域生成相应HTM输出，其中相应输出基于所述HTM网络的相应区域的活动节点；

确定至少一个HTM输出指示异常；

将所述至少一个HTM输出转换为通知；以及

将所述通知提供给用户接口。

2.根据权利要求1所述的方法，其中该组网络安全数据包括系统日志数据、防火墙事件日志数据、操作系统日志数据、应用日志数据或设备日志数据中的至少一个。

3.根据前述权利要求中任一项所述的方法，其中所述多个计算源包括安全信息和事件管理(SIEM)系统、简单网络管理协议(SNMP)陷阱、以及入侵检测和防范系统(IDPS)。

4.根据前述权利要求中任一项所述的方法，其中生成多个张量还包括：

将该组网络安全数据分类为数值数据子集和文本数据子集；

基于所述数值数据子集生成至少第一矢量空间模型(VSM)；

基于所述文本数据子集生成至少第二VSM；

存储所述第一VSM和所述文本数据子集之间的文本关联，其中文本关联指示所述第一VSM的相应分量的相应值的文本值；以及

存储所述第二VSM与所述数值数据子集之间的数值关联，其中数值关联指示所述第二VSM的相应分量的特征属性。

5.根据权利要求4所述的方法，其中生成多个张量还包括：

基于相应的VSM生成相应的张量；以及

基于至少一个张量生成至少一个稀疏分布表示(SDR)。

6.根据权利要求5所述的方法，其中将所述多个张量提供给层级即时记忆(HTM)网络还包括：

将至少一个SDR输入到所述HTM网络的第一层的第一区域；

将所述HTM网络的第一层的第一区域的输出输入到所述HTM网络的第二层的第二区域，其中所述第二层包括比所述第一层少的节点；以及

基于所述HTM网络的第二层的至少所述第二区域的一组活动节点来生成HTM输出。

7.根据权利要求6所述的方法，其中所述通知包括文本输出和数值输出，其中将HTM输出转换为通知还包括：

至少部分地基于所述HTM输出和所述文本关联来生成文本输出；以及

至少部分地基于所述HTM输出和所述数值关联来生成数值输出。

8.根据前述权利要求中任一项所述的方法，所述方法还包括：

对从用户接口接收的查询执行自然语言处理；

基于所述查询识别所述HTM网络的相关部分；

对来自所述HTM网络的相关部分的第二输出执行自然语言处理以生成对所述查询的回答；以及

将所述回答呈现给所述用户接口。

9.根据权利要求8所述的方法，其中所述回答包括文本数据、数值数据和置信度值。